Gli utenti sono soliti a fare casini con i computer....ma tanti tanti ....l'obiettivo degli amministratori di sistema è quello di cercare di bloccare il maggior numero di cose, per impedire che facciano danni.

Fatta la regola, trovato il modo per aggirarla.....e così se impedite le installazioni dei software (es. messenger), un'utente furbo accederà al sito di webmessenger e così tutte le vostre belle regole sono state "bruciate" in un attimo (per non contare quanto iniziano a girarci per lo "smacco" )

E quindi? al fuoco si risponde con il fuoco.....se loro fanno i furbi, noi facciamo i "bastardi" ; vediamo come creare una regola in ISA server 2004, volta a filtrare determinati siti web impostati in un file XML.

Apriamo la MMC di ISA 2004 (immagine 1.1)


Immagine 1.1

andiamo nella sezione Toolbox-> Network Objects -> URL Sets (immagine 2.1)


Immagine 2.1

cliccando il tasto destro apparirà una finestra (immagine 3.1), selezionate New Set URL

 
Immagine 3.1

si aprirà una finestra che contiene le seguenti voci:
- nome della lista
- lista indirizzi da bloccare
- descrizione (non obbligatoria)

Inseriamo un nome per la nostra lista e procediamo ad inserire la lista dei siti (immagine 4.1)


Immagine 4.1

Una volta completata la lista, basterà creare una nuova regola che impedisce (Deny) il traffico HTTP/HTTPS, dalla rete interna verso il file XML.
Ricordatevi di inserire questa regola tra le prime....sicuramente prima della regola che permette il traffico in HTTP/HTTPS (altrimenti decade tutto il discorso)

Ecco fatto....adesso voglio vedere se gli utenti riusciranno a fare i furbi ancora

Il file può essere aggiornato a mano, oppure usando software di terze parti che scaricano in automatico la lista aggiornata.....dipende dall'uso che ne volete fare.

Ora....io ho improntato il discorso sulla creazione di una regola che impedisse il traffico....è ovvio che quella lista può essere usata per creare una white list che, abbinata ad una corretta regola, vi permette di dichiarare quali siti visitare (nel caso siano pochi)

Mi è stato chiesto se è possibile aggiungere il carattere jolly (*), ho fatto delle prove e sembra che venga riconosciuto; quindi se volete filtrare i siti per estensione o per dominio di secondo livello, lo potete fare.

Volendo si può fare una prima lista di filtraggio, che si aggiorna da internet (tool di terze parti) e poi fare una seconda lista, dove inserite i siti che secondo voi non devono essere visitati.

in ultimo vi lascio il link, tratto da Isa Server, dove potete già trovare una lista pronta: http://www.isaserver.org/IsaNews/2004blocklists.html

Bene....spero di non essermi dimenticato qualcosa....

Ciao ciao
S